Se ha descubierto una nueva amenaza para nuestros ordenadores. Se trata de un malware llamado Black Lotus y es un sofisticado programa que pasa desapercibido para los antivirus. Esto supone un gran problema para la seguridad de las empresas y organizaciones, ya que si los ciberdelincuentes consiguieran afectar a sus ordenadores, sería muy difícil eliminar la amenaza.
Un malware es un software malicioso, es decir, diseñado para causar daño a los dispositivos. Fue el investigador de seguridad cibernética Scott Scheferman quien dio el aviso. Descubrió una oferta de bootkit UEFI (Interfaz de Firmware Extensible Unificada) en foros criminales. Scheferman comentó que es un nuevo kit de arranque para Windows, que puede otorgar capacidades de amenazas APT a los ciberdelincuentes. Entendemos por bootkit a un tipo de rootkit que vive en el proceso de inicio del sistema operativo del ordenador, es decir, que afecta en el arranque del equipo. En definitiva, perjudican el Master Boot Record (MBR), que es el registro de arranque principal.
Este malware ejecuta un código malicioso en el anillo 0 de la arquitectura x86. Los anillos de protección sirven para calificar la seguridad en un ordenador. Funcionan como una jerarquía con una escala de privilegios, siendo el número más bajo el que más privilegios tiene. Así, el anillo 0 es el nivel con la mayor parte de privilegios y que interactúa más directamente con el hardware, CPU y la memoria del núcleo. Es por esto por lo que, si el malware llega a este anillo, el ordenador se verá muy comprometido.
Además, se ha visto a algún usuario promocionando y vendiendo este malware en foros de hackers.
Características de este nuevo malware.
Black Lotus destaca por su tamaño, ya que tan solo ocupa 80kb, en comparación con su capacidad de destrucción, la cual es muy grande. También es importante resaltar que es muy evasivo, es capaz de deshabilitar la integridad de códigos HVCI (Habilitación de Integridad de código protegida por hipervisor), BitLocker y Windows Defender. Además, puede omitir el UAC (Control de cuentas de usuario) y cargar controladores sin firmar.
Este malware es capaz de realizar tareas con todas las funciones y transferencia de archivos, además de realizar operaciones indefinidamente sin ser detectado.
Es por esto por lo que Scheferman ha advertido sobre el peligro de Black Lotus, ya que ha supuesto un salto hacia adelante en cuanto a la facilidad de uso, la accesibilidad, la escalabilidad y el potencial de impacto. Asimismo, la licencia de usuario de este malware cuesta 5.000$, lo cual puede parecer caro, pero muchos hackers pagarían por ello debido a todas las funcionalidades que tiene. Además, para poder lanzar posteriores y mejoradas versiones del mismo tan solo cuesta 200$.
De todas formas, aún no se han visto imágenes que demuestren su funcionamiento, por lo que en el futuro se verá si es así de eficaz o no.